Una vulnerabilidad de seguridad de día cero recién descubierta en el componente WebView del sistema operativo Android está poniendo en riesgo a millones de usuarios de criptomonedas al permitir que aplicaciones maliciosas en segundo plano roben frases de recuperación de billeteras en solo tres segundos. Los expertos en seguridad de Ledger revelaron que los atacantes pueden explotar el fallo para extraer instantáneamente las frases semilla de 24 palabras necesarias para acceder a billeteras de criptomonedas, lo que podría exponer los fondos a un robo rápido.
Detalles de la Vulnerabilidad Memory-Mirror
La vulnerabilidad, denominada “Memory-Mirror” por el equipo de seguridad Ledger Donjon, surge de cómo el sistema WebView de Android procesa el contenido de internet dentro de las aplicaciones. En esencia, una aplicación maliciosa que se ejecuta en segundo plano puede desviar datos secretos almacenados en la memoria supuestamente aislada de una aplicación de billetera objetivo al filtrarlos a otra caché a la que puede acceder. Notablemente, durante un ataque, los usuarios no notan nada anormal; no ocurre ninguna actividad inusual en la aplicación de billetera afectada mientras el atacante copia silenciosamente cualquier frase semilla ingresada en el dispositivo.
Aunque la arquitectura de seguridad de Android se basa en aislar las aplicaciones entre sí, los expertos advierten que el error Memory-Mirror elude estas protecciones bajo ciertas condiciones. Específicamente, si un usuario ingresa una nueva frase de recuperación en una aplicación de billetera mientras una aplicación maliciosa acecha en segundo plano, la semilla sensible puede ser robada instantáneamente de la memoria caché compartida. Sin embargo, para explotar con éxito esta vulnerabilidad, el usuario debe haber instalado previamente una aplicación maliciosa. El riesgo se ve incrementado por el reciente aumento de aplicaciones falsas que infiltran los mercados de aplicaciones y la instalación generalizada de archivos APK de fuentes de terceros.
Los investigadores de Ledger Donjon recomiendan encarecidamente a todos los usuarios que instalen las actualizaciones de seguridad sin demora para evitar que esta vulnerabilidad ponga en peligro la seguridad de las billeteras móviles.
Dispositivos Afectados y Respuesta de la Industria
Según Ledger Donjon, los dispositivos Android que ejecutan las versiones 12, 13, 14 y 15 siguen siendo vulnerables a menos que se haya instalado el parche de seguridad de marzo de 2026. Google emitió una actualización el 5 de marzo para los dispositivos Pixel, mientras que se espera que Samsung y Xiaomi distribuyan la corrección a finales del mes. Cualquier dispositivo que aún no haya recibido la actualización que termina en .0326 sigue estando expuesto al riesgo.
En respuesta a la amenaza, las principales billeteras de software Trust Wallet y MetaMask han suspendido temporalmente sus funciones de “Importar Semilla” en Android. Trust Wallet, clasificada actualmente como la billetera caliente número uno por CoinGecko, y MetaMask están bloqueando las importaciones de semillas hasta que puedan confirmar que los dispositivos de los usuarios han sido parcheados. De manera similar, Phantom también ha detenido los inicios de sesión basados en semillas en Android como medida de precaución.
Pasos que los Usuarios Deben Tomar
Se insta a cualquier persona que almacene criptomonedas en Android a verificar el parche de seguridad de marzo de 2026 navegando a la sección de Actualización de Software en la Configuración del dispositivo. Los dispositivos con un número de versión que termina en .0326 han recibido la corrección crítica. Si un fabricante aún no ha distribuido la actualización, los expertos recomiendan abstenerse de ingresar nuevas frases semilla en ese dispositivo hasta que se pueda garantizar su seguridad.
El laboratorio de seguridad de Ledger advierte además que ingresar frases de recuperación en cualquier billetera de software móvil conlleva riesgos adicionales más allá de Memory-Mirror. Los teclados en pantalla, las aplicaciones que acceden al portapapeles y las utilidades de grabación de pantalla también podrían exponer información sensible de las semillas. Las billeteras de hardware de Ledger no se ven afectadas por esta vulnerabilidad, ya que las frases de recuperación nunca abandonan el chip de hardware cifrado, permaneciendo aisladas del sistema operativo Android en todo momento.
Se aconseja a los usuarios que no ingresen frases semilla en dispositivos móviles a menos que se hayan aplicado actualizaciones de seguridad. Dado que Memory-Mirror apunta específicamente a los mecanismos de protección centrales de las aplicaciones de billetera, esta clase de ataque puede comprometer gravemente los activos digitales de los usuarios si no se aborda.
